Voltar

Ransonware SynAck

20/07/2018

Ransonware SynAck
Assim como tecnologia, pessoas e processos evoluíram com o passar do tempo. Como um ciclo natural, podemos identificar também a evolução das ameaças e métodos de ataques, sendo que, muitas vezes, esse processo é ainda mais rápido no mundo cibernético. Malwares tem evoluído constantemente com novas funcionalidades e técnicas que visam evitar a detecção pelos antivírus.
Em maio de 2018, o Kaspersky Lab descobriu uma nova evolução, no caso, o ransonware SynAck. Malware conhecido desde setembro de 2017, mas não muito inteligente nesta época, foi agora reformulado e se tornou uma ameaça bem mais complexa que evita detecções com uma efetividade sem antes vista e utiliza uma técnica chamada Process Doppelgänging.
Desenvolvedores de malware fazem uso de técnicas de ofuscamento, que normalmente empregam pacotes de software especiais para esta finalidade. Porém, os fabricantes de antivírus perceberam que esse tipo de estratégia é facilmente detectada. Dessa forma, os cibercriminosos por trás do SynAck seguiram um outro caminho para dificultar a detecção do novo malware. Este método requer bem mais esforço para sua identificação. Se resume em ofuscar o código de forma completa e cuidadosa antes da compilação, o que dificulta significativamente o trabalho de detecção das soluções de segurança atuais.
Esse não é o único método de evasão da nova versão do SynAck. É implementada uma técnica, com uma certa complexidade, chamada Process Doppelgänging e é o primeiro ransomware a ser visto usando essa técnica. Para mais detalhes deste método, veja esta apresentação realizada por pesquisadores na Black Hat 2017.
Process Doppelgänging conta com alguns recursos do sistema de arquivos NTFS e um process loader desatualizado existente em todas as versões do Windows desde o Windows XP, e que permitem que desenvolvedores criem os chamados Fileless Malware que fazem com que ações maliciosas se passem por processos legítimos e inofensivos. A técnica é de uma certa complexidade que chega a ser poética para os amantes de análise de malware e engenharia reversa; recomendo a leitura deste post no Securilist para mais detalhes.
Algumas características do SynAck são:

  • O Trojan analisa o diretório do qual o executável foi iniciado e, caso detecte uma tentativa de inicialização a partir de um diretório “incorreto” (como um sandbox), ele é imediatamente encerrado.
  • Obscurece links para a função de API e armazena hashes em sequência de caracteres ao invés das sequências de caracteres reais.
  • Não é executado em hosts com Cyrillic Keyboard.
  • Antes de criptografar arquivos no host da vítima, o SynAck verifica os hashes de todos os processos e serviços em execução em sua própria lista codificada. Se encontrar uma correspondente, ela tentará eliminar o processo. Os processos bloqueados dessa forma incluem máquinas virtuais, aplicativos do office, interpretadores de script, aplicativos de banco de dados, sistemas de backup, aplicativos de jogos entre outros. Isso possivelmente é para facilitar a obtenção de arquivos valiosos que poderiam estar vinculados aos processos em execução.

Aparentemente o SynAck é um desses ransonwares direcionados, uma vez que ainda só há registros em países como EUA, Alemanha, Irã e Kuwait. Vale ressaltar que ainda não foi encontrada nenhuma falha na implementação do algoritmo, com isso ainda não há uma forma de descriptografar os arquivos afetados.
Mesmo que não estejamos na mira desse novo modelo de ransonware, este por sua vez mostra a grande evolução que esses tipos de ameaças tem adquirido. Quanto mais complexa e elaborada essas ameaças se tornam mais complicada e difícil será o trabalho de combate-las. As ferramentas de proteção serão cada vez menos eficientes sozinhas conforme os criminosos aprimoram suas técnicas e formas de evitar que seus ataques sejam identificados.
Podemos entender que a existências de ameaças com essa complexidade e detalhistas ao que diz respeito às dificuldades de proteção e detecção, nos leva ao início de uma nova era para a Segurança Cibernética. Os profissionais de SI têm um desafio enorme ao que tange a proteção dos seus negócios. Entender e conhecer ameaças não é mais suficiente no âmbito atual. Precisamos aprender a estudar comportamentos e realizar análises de tendências em nosso mercado para que possamos estar sempre capacitados a tomar decisões proativas para que estejamos sempre perto da prevenção. Remediar não é o mais recomendado.
O volume de geração de dados que temos na atualidade e o impacto negativo que sua perda promove para as instituições principalmente relacionado à reputação e perda financeira, nos faz buscar soluções que nos apoiem em visibilidade para rápida tomada de decisão e mais proximidade com a prevenção.
Algumas dicas para nossos clientes são:

  • Mantenham uma politica de backup consistente, com testes contínuos de recuperação de dados e armazene essas mídias (backup) em locais que não esteja diretamente conectada em sua rede.
  • Procure analisar serviços que atualmente estejam habilitados e que não possuem utilidade: RDP, Windows Remote Desktop e etc.
  • Procure uma solução de segurança que lhe dê o máximo de visibilidade possível;
  • Além de uma boa solução de antivírus procure obter uma outra solução voltada para proteção contra malwares e exploits (AntiExploits, NGEP)
  • E lembre-se segurança não deve ser feita apenas com produtos, sendo assim também invista esforços em auditorias, analises de vulnerabilidades, classificação de riscos e etc;

A LDC possui a metodologia de segurança em 360 graus, envolvendo processos com ajustes e politicas bem definidas para o ambiente de TI, conscientização das pessoas em relação ao uso e proteção em um ambiente com tecnologia presente em várias partes do negocio e visando a proteção na esfera da tecnologia com ferramentas que auxiliam desde o desenho de uma solução de segurança até a auditoria constante do ambiente passando pela continuidade do negocio, monitoramento e etc.


Adriano Ribeiro, Especialista em Segurança Cibernética e Líder da Área de Serviços de SI na LDC.
Taciana Salomão, Diretora de Projetos e Serviços na LDC.
Fonte do estudo: Kaspersky